{"id":556,"date":"2025-09-11T12:28:39","date_gmt":"2025-09-11T10:28:39","guid":{"rendered":"https:\/\/softwelop.com\/blog\/?p=556"},"modified":"2025-09-12T08:15:11","modified_gmt":"2025-09-12T06:15:11","slug":"npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl","status":"publish","type":"post","link":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/","title":{"rendered":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl"},"content":{"rendered":"\n<style>\n       \n       a {\n            text-decoration: none;\ndisplay: inline;\n        }\n        a:hover {\n            text-decoration: underline;\n        }\n        sup a {\n            font-size: 0.8em;\n        }\n        table {\n            width: 100%;\n            border-collapse: collapse;\n            margin-top: 1em;\n        }\n        th, td {\n            border: 1px solid #ddd;\n            padding: 8px;\n            text-align: left;\n        }\n        th {\n            background-color: #f2f2f2;\n        }\n        code {\n            background-color: #eee;\n            padding: 2px 4px;\n            border-radius: 4px;\n        }\n        ol {\n            padding-left: 20px;\n        }\n        li {\n            margin-bottom: 0.5em;\n        }\n    <\/style>\n\n    <h2>Die Kompromittierung der npm-Lieferkette im September 2025<\/h2>\n    <p>Im September 2025 wurde das npm-\u00d6kosystem Zeuge eines der potenziell weitreichendsten Supply-Chain-Angriffe seiner Geschichte. Dutzende grundlegender JavaScript-Pakete, darunter allgegenw\u00e4rtige Tools wie <code>chalk<\/code> und <code>debug<\/code>, wurden kompromittiert.<a href=\"#ref1\"><sup>1<\/sup><\/a> Diese Pakete verzeichnen zusammen \u00fcber 2,6 Milliarden w\u00f6chentliche Downloads, was eine immense potenzielle Angriffsfl\u00e4che schuf.<a href=\"#ref3\"><sup>3<\/sup><\/a> Der Vorfall unterstreicht die systemische Fragilit\u00e4t der Open-Source-Softwarelieferkette und die zunehmende Raffinesse von Bedrohungsakteuren, die auf die Kompromittierung von Krypto-Assets abzielen.<\/p>\n    <p>Der initiale Angriffsvektor war eine hochentwickelte Social-Engineering-Kampagne, die erfolgreich die Anmeldedaten eines produktiven Paket-Maintainers, Josh Junon (GitHub-Handle: qix), durch Phishing erlangte.<a href=\"#ref3\"><sup>3<\/sup><\/a> Dieser unbefugte Zugriff erm\u00f6glichte es dem Angreifer, b\u00f6sartige Versionen von vertrauensw\u00fcrdigen Paketen direkt in der \u00f6ffentlichen npm-Registry zu ver\u00f6ffentlichen.<\/p>\n    <p>Die eingeschleuste Nutzlast war ein hochspezialisierter, clientseitiger Kryptow\u00e4hrungs-Drainer, der darauf ausgelegt war, unbemerkt in den Browsern der Endbenutzer zu operieren.<a href=\"#ref3\"><sup>3<\/sup><\/a> Sein Hauptziel war das Abfangen und Umleiten von Web3-Transaktionen \u00fcber mehrere Blockchains hinweg, indem Gelder an vom Angreifer kontrollierte Wallets umgeleitet wurden.<a href=\"#ref7\"><sup>7<\/sup><\/a><\/p>\n    <p>Ein zentrales Merkmal dieses Vorfalls ist der starke Kontrast zwischen der astronomischen potenziellen Reichweite des Angriffs und seinem minimalen finanziellen Erfolg. Sch\u00e4tzungen zufolge beliefen sich die gestohlenen Gelder auf weniger als 1.000 US-Dollar.<a href=\"#ref5\"><sup>5<\/sup><\/a> Dieses Paradoxon deutet entweder auf eine fehlerhafte Ausf\u00fchrung, einen Testlauf f\u00fcr eine zuk\u00fcnftige Operation oder das prim\u00e4re Ziel hin, weitreichende St\u00f6rungen anstelle von direktem finanziellen Gewinn zu verursachen.<a href=\"#ref6\"><sup>6<\/sup><\/a><\/p>\n    <p>Die entscheidende Rolle bei der Eind\u00e4mmung des Schadens spielte die schnelle Reaktion der Open-Source- und Sicherheits-Community. Die b\u00f6sartigen Pakete wurden innerhalb weniger Stunden nach ihrer Ver\u00f6ffentlichung identifiziert und aus der Registry entfernt, was die potenziellen Auswirkungen erheblich abschw\u00e4chte.<a href=\"#ref1\"><sup>1<\/sup><\/a> Der Vorfall dient als eindringliche Fallstudie \u00fcber die Verwundbarkeit der modernen Softwareentwicklung und die Notwendigkeit robuster, mehrschichtiger Verteidigungsstrategien.<\/p>\n\n    <h2>Anatomie des initialen Einbruchs: Dekonstruktion der Adversary-in-the-Middle (AiTM) Phishing-Kampagne<\/h2>\n    <p>Der Erfolg des gesamten Supply-Chain-Angriffs hing von einem einzigen, entscheidenden Faktor ab: der Kompromittierung eines vertrauensw\u00fcrdigen menschlichen Glieds in der Kette. Der Angreifer nutzte keine Zero-Day-Schwachstelle in der npm-Infrastruktur, sondern eine meisterhaft ausgef\u00fchrte Social-Engineering-Kampagne, die auf menschliches Vertrauen und psychologische Dringlichkeit abzielte.<\/p>\n\n    <h3>Der K\u00f6der: Eine Social-Engineering-Meisterleistung<\/h3>\n    <p>Der Angriff begann mit einer \u00e4u\u00dferst \u00fcberzeugenden Phishing-E-Mail, die an Paket-Maintainer, darunter Josh Junon (\u201eqix\u201c) und sp\u00e4ter den \u201educkdb_admin\u201c-Account, gesendet wurde.<a href=\"#ref3\"><sup>3<\/sup><\/a> Die E-Mail war sorgf\u00e4ltig gestaltet, um den offiziellen Support von npm zu imitieren, und stammte von der Typosquatting-Domain <code>npmjs[.]help<\/code>. Diese Domain wurde nur drei Tage vor dem Angriff, am 5. September 2025, registriert, was auf eine gezielte Vorbereitung hindeutet.<a href=\"#ref5\"><sup>5<\/sup><\/a><\/p>\n    <p>Die Nachricht bediente sich klassischer Social-Engineering-Taktiken, um ein falsches Gef\u00fchl der Dringlichkeit zu erzeugen. Sie behauptete, dass ein obligatorisches Update der Zwei-Faktor-Authentifizierung (2FA) innerhalb von 48 Stunden erforderlich sei, um eine Sperrung des Kontos zu vermeiden.<a href=\"#ref8\"><sup>8<\/sup><\/a> Diese Taktik zielt darauf ab, das rationale Denken des Opfers zu umgehen und es zu einer schnellen, un\u00fcberlegten Handlung zu bewegen.<\/p>\n\n    <h3>Die Falle: Abfangen von Anmeldedaten und 2FA-Token<\/h3>\n    <p>Der in der E-Mail enthaltene Link leitete das Opfer auf eine pixelgenaue Nachbildung der npm-Anmeldeseite.<a href=\"#ref11\"><sup>11<\/sup><\/a> Diese Seite fungierte jedoch nicht nur als einfache Credential-Harvesting-Seite, sondern als hochentwickelter Adversary-in-the-Middle (AiTM)-Proxy.<\/p>\n    <p>Als der Maintainer seinen Benutzernamen, sein Passwort und den zeitkritischen 2FA-Code (TOTP) eingab, erfasste die Phishing-Seite diese Anmeldeinformationen in Echtzeit.<a href=\"#ref3\"><sup>3<\/sup><\/a> Die erfassten Daten wurden sofort \u00fcber eine WebSocket-Verbindung an einen vom Angreifer kontrollierten Endpunkt unter <code>websocket-api2.publicvm[.]com<\/code> exfiltriert.<a href=\"#ref3\"><sup>3<\/sup><\/a> Dies erm\u00f6glichte es dem Angreifer, die Anmeldedaten und den g\u00fcltigen 2FA-Token zu verwenden, um sich bei der echten npm-Website anzumelden, bevor der Token ablief.<\/p>\n\n    <h3>Konto\u00fcbernahme und Aussperrung<\/h3>\n    <p>Sobald der Angreifer authentifiziert war, \u00e4nderte er sofort die mit dem Konto des Maintainers verkn\u00fcpfte E-Mail-Adresse.<a href=\"#ref11\"><sup>11<\/sup><\/a> Dieser Schritt sperrte den rechtm\u00e4\u00dfigen Besitzer vor\u00fcbergehend aus seinem eigenen Konto aus und gab dem Angreifer die alleinige Kontrolle, um b\u00f6sartige Paketversionen zu ver\u00f6ffentlichen.<\/p>\n    <p>Die Effektivit\u00e4t dieses Angriffs offenbart eine kritische Schw\u00e4che in weit verbreiteten Sicherheitsarchitekturen. Obwohl der Entwickler bew\u00e4hrte Sicherheitspraktiken befolgte und 2FA aktiviert hatte, erwies sich diese Schutzma\u00dfnahme als unzureichend.<a href=\"#ref11\"><sup>11<\/sup><\/a> Der Angreifer musste den 2FA-Algorithmus nicht knacken; er umging ihn, indem er einen Proxy zwischen den Benutzer und den legitimen npm-Dienst schaltete. Der Benutzer authentifiziert sich gegen\u00fcber dem Proxy des Angreifers, im Glauben, es sei die echte Website. Der Proxy leitet die Anmeldeinformationen an npm weiter, empf\u00e4ngt die 2FA-Aufforderung, pr\u00e4sentiert sie dem Benutzer und f\u00e4ngt dann den 2FA-Token des Benutzers ab. Diese Echtzeit-Weiterleitung macht den 2FA-Token f\u00fcr den Angreifer f\u00fcr eine einzige, erfolgreiche Anmeldung nutzbar.<\/p>\n    <p>Dieses Vorgehen beweist, dass standardm\u00e4\u00dfige TOTP-basierte 2FA-Methoden (wie sie von Apps wie Google Authenticator verwendet werden) grundlegend anf\u00e4llig f\u00fcr gut ausgef\u00fchrte AiTM-Phishing-Kampagnen sind. Der Angriff hat nicht die 2FA-Technologie gebrochen, sondern die menschliche Interaktion mit ihr ausgenutzt. F\u00fcr hochwertige Ziele wie Paket-Maintainer, die als Schl\u00fcssel zur Softwarelieferkette fungieren, muss die Sicherheitsgrundlage auf Phishing-resistente MFA-Methoden wie Hardware-Sicherheitsschl\u00fcssel (FIDO2\/WebAuthn) angehoben werden. Diese binden die Authentifizierungssitzung kryptografisch an die Ursprungsdomain und machen sie immun gegen diese Art von Phishing-Angriffen, da der Schl\u00fcssel sich weigern w\u00fcrde, mit der gef\u00e4lschten Domain zu interagieren.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/p>\n\n    <h2>Die als Waffe eingesetzten Pakete: Umfang, Zeitachse und Verbreitung<\/h2>\n    <p>Nach der erfolgreichen \u00dcbernahme des Maintainer-Kontos verschwendete der Angreifer keine Zeit und begann, die kompromittierten Pakete als Vektor f\u00fcr die Verbreitung seiner Malware zu nutzen. Die Geschwindigkeit und der Umfang der Operation waren bemerkenswert und verdeutlichen die Effizienz von Supply-Chain-Angriffen in einem hochgradig automatisierten \u00d6kosystem.<\/p>\n    \n    <h3>Zeitachse des Angriffs<\/h3>\n    <p>Die kritischen Ereignisse spielten sich innerhalb eines sehr kurzen Zeitfensters ab, was sowohl die Effizienz des Angreifers als auch die schnelle Reaktionsf\u00e4higkeit der Community unterstreicht:<\/p>\n    <ul>\n        <li><strong>8. September 2025, ca. 13:16 UTC:<\/strong> Der Angreifer beginnt mit der Ver\u00f6ffentlichung b\u00f6sartiger Versionen von Paketen, die vom \u201eqix\u201c-Konto verwaltet werden.<a href=\"#ref14\"><sup>14<\/sup><\/a><\/li>\n        <li><strong>ca. 15:20 UTC:<\/strong> Die Sicherheits-Community wird auf verd\u00e4chtige Aktivit\u00e4ten aufmerksam. Ein Benutzer im GitHub-Repository debug-js\/debug stellt fest, dass eine auf npm ver\u00f6ffentlichte Version nicht im Quellcode-Repository existiert. Dies l\u00f6st den ersten Alarm aus.<a href=\"#ref1\"><sup>1<\/sup><\/a><\/li>\n        <li><strong>ca. 17:39 UTC:<\/strong> Gro\u00dfe Infrastrukturanbieter wie Vercel aktivieren ihre Incident-Response-Protokolle, um ihre Kunden und Systeme zu sch\u00fctzen.<a href=\"#ref12\"><sup>12<\/sup><\/a><\/li>\n        <li><strong>Innerhalb weniger Stunden:<\/strong> Die b\u00f6sartigen Pakete werden von den npm-Administratoren und dem kompromittierten Maintainer, der die Kontrolle \u00fcber sein Konto wiedererlangt hatte, aus der npm-Registry entfernt.<a href=\"#ref1\"><sup>1<\/sup><\/a> Das Expositionsfenster war auf etwa zwei bis drei Stunden begrenzt.<\/li>\n        <li><strong>9. September 2025:<\/strong> Die Kampagne weitet sich aus. Dieselbe Wallet-Drainer-Malware taucht in Paketen auf, die von einem zweiten kompromittierten Konto, \u201educkdb_admin\u201c, ver\u00f6ffentlicht wurden. Dies best\u00e4tigt, dass es sich um eine koordinierte und andauernde Anstrengung handelte.<a href=\"#ref1\"><sup>1<\/sup><\/a><\/li>\n    <\/ul>\n\n    <h3>Quantifizierung des potenziellen Schadens<\/h3>\n    <p>Die potenzielle Reichweite des Angriffs war enorm und machte ihn zu einem der bedeutendsten seiner Art:<\/p>\n    <ul>\n        <li>Der initiale Angriff kompromittierte mindestens 18 Pakete unter dem \u201eqix\u201c-Konto. Sp\u00e4tere Berichte identifizierten insgesamt 25 bis 27 Pakete, wenn man die duckdb-Kompromittierung und andere kleinere Vorf\u00e4lle mit einbezieht.<a href=\"#ref5\"><sup>5<\/sup><\/a><\/li>\n        <li>Die kombinierten w\u00f6chentlichen Downloads dieser Pakete \u00fcbersteigen 2,6 Milliarden, was diesen Angriff gemessen an der potenziellen Reichweite wohl zum gr\u00f6\u00dften Supply-Chain-Angriff in der Geschichte von npm macht.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n        <li>Das Sicherheitsunternehmen Wiz berichtete, dass w\u00e4hrend des kurzen zweist\u00fcndigen Zeitfensters der b\u00f6sartige Code in Assets von mindestens 10 % aller von ihnen \u00fcberwachten Cloud-Umgebungen entdeckt wurde.<a href=\"#ref6\"><sup>6<\/sup><\/a> Dies demonstriert die unglaubliche Geschwindigkeit, mit der sich b\u00f6sartiger Code durch automatisierte CI\/CD-Pipelines (Continuous Integration\/Continuous Deployment) verbreiten kann.<\/li>\n    <\/ul>\n\n    <h3>Kompromittierte Pakete und b\u00f6sartige Versionen<\/h3>\n    <p>Die folgende Tabelle bietet eine konsolidierte \u00dcbersicht der prim\u00e4r betroffenen Pakete, ihrer b\u00f6sartigen Versionen und der ungef\u00e4hren w\u00f6chentlichen Downloadzahlen. Diese Daten sind entscheidend f\u00fcr Organisationen, um ihre Exposition zu bewerten und sofortige Abhilfema\u00dfnahmen zu ergreifen.<\/p>\n    <table>\n        <thead>\n            <tr>\n                <th>Paketname<\/th>\n                <th>B\u00f6sartige Version(en)<\/th>\n                <th>Ungef\u00e4hre w\u00f6chentliche Downloads<\/th>\n                <th>Maintainer-Konto<\/th>\n            <\/tr>\n        <\/thead>\n        <tbody>\n            <tr><td>debug<\/td><td>4.4.2<\/td><td>357,6 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>chalk<\/td><td>5.6.1<\/td><td>300 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>ansi-styles<\/td><td>6.2.2<\/td><td>371,4 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>strip-ansi<\/td><td>7.1.1<\/td><td>261,2 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>supports-color<\/td><td>10.2.1<\/td><td>287,1 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>ansi-regex<\/td><td>6.2.1<\/td><td>243,6 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>wrap-ansi<\/td><td>9.0.1<\/td><td>198 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>color-convert<\/td><td>3.1.1<\/td><td>193,5 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>color-name<\/td><td>2.0.1<\/td><td>191,7 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>is-arrayish<\/td><td>0.3.3<\/td><td>73,8 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>slice-ansi<\/td><td>7.1.1<\/td><td>59,8 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>error-ex<\/td><td>1.3.3<\/td><td>47,2 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>color-string<\/td><td>2.1.1<\/td><td>27,5 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>simple-swizzle<\/td><td>0.2.3<\/td><td>26,3 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>supports-hyperlinks<\/td><td>4.1.1<\/td><td>19,2 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>has-ansi<\/td><td>6.0.1<\/td><td>12,1 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>chalk-template<\/td><td>1.1.1<\/td><td>3,9 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>backslash<\/td><td>0.2.1<\/td><td>0,26 Mio.<\/td><td>qix<\/td><\/tr>\n            <tr><td>duckdb<\/td><td>1.3.3<\/td><td>Variiert<\/td><td>duckdb_admin<\/td><\/tr>\n            <tr><td>@duckdb\/node-api<\/td><td>1.3.3<\/td><td>Variiert<\/td><td>duckdb_admin<\/td><\/tr>\n            <tr><td>@duckdb\/node-bindings<\/td><td>1.3.3<\/td><td>Variiert<\/td><td>duckdb_admin<\/td><\/tr>\n            <tr><td>@duckdb\/duckdb-wasm<\/td><td>1.29.2<\/td><td>Variiert<\/td><td>duckdb_admin<\/td><\/tr>\n            <tr><td>&#8230; (und andere wie proto-tinker-wc, prebid.js)<\/td><td>&#8230;<\/td><td>&#8230;<\/td><td>&#8230;<\/td><\/tr>\n        <\/tbody>\n    <\/table>\n\n    <h2>Detaillierte Malware-Analyse: Der Multi-Chain-Krypto-Drainer<\/h2>\n    <p>Die b\u00f6sartige Nutzlast, die in die kompromittierten Pakete eingeschleust wurde, war eine einzelne, stark verschleierte JavaScript-Zeile, die an die <code>index.js<\/code>-Datei der jeweiligen Pakete angeh\u00e4ngt wurde.<a href=\"#ref1\"><sup>1<\/sup><\/a> Trotz ihrer kompakten Form handelte es sich um eine hochentwickelte Malware, die speziell f\u00fcr den Diebstahl von Kryptow\u00e4hrungen im Browserumfeld entwickelt wurde.<\/p>\n\n    <h3>Aktivierung und Browser-Environment-Hooking<\/h3>\n    <p>Die Funktionsweise der Malware war pr\u00e4zise und auf Tarnung ausgelegt:<\/p>\n    <ul>\n        <li><strong>Verschleierung:<\/strong> Die Nutzlast war stark verschleiert, um eine statische Analyse zu erschweren. Techniken wie hexadezimale Variablennamen und String-Array-Lookups wurden verwendet.<a href=\"#ref5\"><sup>5<\/sup><\/a> Sicherheitsforscher stellten jedoch fest, dass wahrscheinlich ein g\u00e4ngiges Werkzeug, <code>javascript-obfuscator<\/code>, verwendet wurde, was die schnelle Deobfuskierung erleichterte.<a href=\"#ref17\"><sup>17<\/sup><\/a><\/li>\n        <li><strong>Clientseitige Ausf\u00fchrung:<\/strong> Die Malware war so konzipiert, dass sie ausschlie\u00dflich in einer clientseitigen Browserumgebung ausgef\u00fchrt wird. Sie enthielt keine serverseitige (Node.js) Logik, was sie f\u00fcr viele Backend-Sicherheitsscanner unsichtbar machte.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n        <li><strong>Umgebungserkennung:<\/strong> Nach der Ausf\u00fchrung bestand der erste Schritt darin, das Vorhandensein von Web3-Browser-Wallets zu erkennen, indem nach dem <code>window.ethereum<\/code>-Objekt gesucht wurde, das von Wallets wie MetaMask in die Browserumgebung injiziert wird.<a href=\"#ref7\"><sup>7<\/sup><\/a><\/li>\n        <li><strong>API-Hooking:<\/strong> Wenn ein Wallet erkannt wurde, \u201ehakte\u201c sich die Malware in zentrale Browser-Netzwerkfunktionen ein, darunter <code>fetch<\/code> und <code>XMLHttpRequest<\/code>, sowie in Wallet-spezifische APIs wie <code>window.ethereum.request<\/code>.<a href=\"#ref3\"><sup>3<\/sup><\/a> Dadurch positionierte sich die Malware effektiv als \u201eMan-in-the-Browser\u201c und konnte alle relevanten ein- und ausgehenden Daten inspizieren und manipulieren.<\/li>\n    <\/ul>\n\n    <h3>Logik zur Transaktionsabfangung und -umleitung<\/h3>\n    <p>Die Malware war f\u00fcr mehrere Blockchains ausgelegt und enthielt Logik zur Identifizierung und Manipulation von Adressen und Transaktionen f\u00fcr Ethereum, Bitcoin, Solana, Tron, Litecoin und Bitcoin Cash.<a href=\"#ref5\"><sup>5<\/sup><\/a><\/p>\n    <ul>\n        <li><strong>Passiver Adressentausch:<\/strong> Bei allgemeinem Webverkehr, der \u00fcber <code>fetch<\/code> und <code>XMLHttpRequest<\/code> abgefangen wurde, scannte die Malware JSON-Antworten nach Zeichenketten, die Mustern von Kryptow\u00e4hrungsadressen entsprachen. Bei einem Treffer ersetzte sie die legitime Adresse durch eine vom Angreifer kontrollierte, bevor die Daten in der Anwendung gerendert wurden.<a href=\"#ref2\"><sup>2<\/sup><\/a><\/li>\n        <li><strong>Aktive Transaktionsumleitung:<\/strong> Dies war der fortschrittlichere Vektor. Wenn ein Benutzer eine Transaktion mit seinem Web3-Wallet initiierte, fing die Malware den Aufruf ab, bevor er zur Signierung an das Wallet gesendet wurde. Sie zielte speziell auf wichtige Ethereum-Smart-Contract-Funktionen anhand ihrer Funktionsselektoren ab:<a href=\"#ref7\"><sup>7<\/sup><\/a>\n            <ul>\n                <li><code>approve()<\/code> (0x095ea7b3): Die Malware \u00e4nderte die \u201eSpender\u201c-Adresse in die eines Angreifers und setzte den Genehmigungsbetrag auf den maximal m\u00f6glichen Wert.<\/li>\n                <li><code>transfer()<\/code> (0xa9059cbb): Sie ersetzte die Empf\u00e4ngeradresse durch die eines Angreifers.<\/li>\n                <li><code>transferFrom()<\/code> (0x23b872dd): Sie modifizierte den Aufruf, um Token aus einer genehmigten Zuweisung zu stehlen.<\/li>\n                <li><code>permit()<\/code> (0xd505accf): Sie manipulierte gaslose Genehmigungssignaturen.<\/li>\n            <\/ul>\n        <\/li>\n    <\/ul>\n    <p>Der Schl\u00fcssel zu diesem Angriff liegt darin, dass die Manipulation stattfindet, bevor der Benutzer die Transaktion signiert. Der Benutzer sieht in seinem Wallet eine Best\u00e4tigungsaufforderung, die legitim aussehen mag, aber die zugrunde liegenden Parameter wurden bereits b\u00f6sartig ver\u00e4ndert.<a href=\"#ref2\"><sup>2<\/sup><\/a><\/p>\n\n    <h3>Die Kunst der T\u00e4uschung: Fortschrittlicher Adressentausch mit Levenshtein-Distanz<\/h3>\n    <p>Das raffinierteste und innovativste Merkmal der Malware war ihre Methode zur Adressersetzung. Anstatt einfach die Adresse des Opfers durch eine einzige Angreiferadresse zu ersetzen, enthielt die Malware eine fest codierte Liste von 280 Angreifer-Wallets.<a href=\"#ref10\"><sup>10<\/sup><\/a><\/p>\n    <p>Wenn sie eine legitime Zieladresse abfing, iterierte sie durch ihre Wallet-Liste und verwendete den Levenshtein-Distanz-Algorithmus, um die \u201eEditierdistanz\u201c (die Anzahl der Einzelzeichen\u00e4nderungen, die erforderlich sind, um eine Zeichenkette in eine andere umzuwandeln) zwischen der legitimen Adresse und jeder ihrer eigenen zu berechnen.<a href=\"#ref2\"><sup>2<\/sup><\/a><\/p>\n    <p>Anschlie\u00dfend w\u00e4hlte sie die vom Angreifer kontrollierte Adresse aus, die der urspr\u00fcnglichen Adresse visuell am \u00e4hnlichsten war (d. h. die geringste Editierdistanz aufwies). Wenn ein Benutzer beispielsweise beabsichtigte, Geld an <code>0xAbC123...DEF<\/code> zu senden, k\u00f6nnte die Malware diese durch ihre eigene Adresse <code>0xAcB123...DFF<\/code> ersetzen. F\u00fcr das blo\u00dfe Auge, insbesondere bei langen hexadezimalen Zeichenketten, ist diese \u00c4nderung w\u00e4hrend einer abschlie\u00dfenden Transaktions\u00fcberpr\u00fcfung nahezu unm\u00f6glich zu erkennen.<\/p>\n    <p>Diese Technik stellt eine signifikante Weiterentwicklung von Finanz-Malware dar. Sie geht \u00fcber rein technische Exploits (wie API-Hooking) hinaus und integriert Prinzipien der kognitiven Psychologie. Sie nutzt gezielt die Grenzen der menschlichen Aufmerksamkeit und Mustererkennung aus, um die manuelle Transaktions\u00fcberpr\u00fcfung zu umgehen. Der Standard-Sicherheitshinweis f\u00fcr Krypto-Benutzer lautet: \u201e\u00dcberpr\u00fcfen Sie immer die Adresse, bevor Sie signieren.\u201c Der Angreifer antizipierte diesen Abwehrmechanismus. Er erkannte, dass ein grober Adressentausch (z. B. das Ersetzen einer Adresse, die mit 0xA beginnt, durch eine, die mit 0x9 beginnt) von einem sorgf\u00e4ltigen Benutzer bemerkt werden k\u00f6nnte. Der Levenshtein-Algorithmus ist eine rechnerische Methode zur Quantifizierung von \u201evisueller \u00c4hnlichkeit\u201c. Durch seine Implementierung automatisierte der Angreifer den Prozess, aus seinem Pool die t\u00e4uschendste Ersatzadresse zu finden.<\/p>\n    <p>Dies zielt direkt auf die menschliche Schwachstelle in der Sicherheitskette ab. Es geht davon aus, dass der Benutzer die Adresse zwar \u00fcberpr\u00fcfen wird, aber nicht in der Lage ist, die subtilen Einzelzeichenunterschiede wahrzunehmen. Dies erh\u00f6ht die Anforderungen an die benutzerseitige Sicherheit erheblich. Es legt nahe, dass eine einfache manuelle \u00dcberpr\u00fcfung keine zuverl\u00e4ssige Verteidigung mehr darstellt. Zuk\u00fcnftige Sicherheitsl\u00f6sungen m\u00fcssen m\u00f6glicherweise eine automatisierte Adressanalyse integrieren, die Unterschiede zwischen einer beabsichtigten und einer endg\u00fcltigen Empf\u00e4ngeradresse hervorhebt, oder sich st\u00e4rker auf Adressbuch-Whitelisting und ENS-Namen (Ethereum Name Service) verlassen, um die Abh\u00e4ngigkeit von rohen hexadezimalen Zeichenketten zu verringern.<\/p>\n\n    <h2>Folgenabsch\u00e4tzung: Weitreichende St\u00f6rung versus minimaler Diebstahl<\/h2>\n    <p>Die Analyse der Auswirkungen des Angriffs offenbart ein tiefes Paradoxon: Trotz des massiven Umfangs und der hochentwickelten Nutzlast war der direkte finanzielle Diebstahl erstaunlich gering. On-Chain-Analysen von Firmen wie Arkham und Aikido Security verfolgten die gestohlenen Gelder zu den Wallets des Angreifers und bezifferten den Gesamtbetrag auf lediglich zwischen 500 und 1.000 US-Dollar.<a href=\"#ref5\"><sup>5<\/sup><\/a><\/p>\n    \n    <h3>Die wahren Kosten: Ein globaler \u201eDenial-of-Service\u201c f\u00fcr die Produktivit\u00e4t<\/h3>\n    <p>Die eigentliche Auswirkung war nicht der finanzielle Diebstahl, sondern die massive, branchenweite St\u00f6rung. Sicherheits- und Ingenieurteams in Tausenden von Unternehmen weltweit investierten unz\u00e4hlige Stunden in die Notfall-Reaktion.<a href=\"#ref6\"><sup>6<\/sup><\/a> Zu den Aktivit\u00e4ten geh\u00f6rten:<\/p>\n    <ul>\n        <li>Identifizierung der Exposition durch Scannen von Abh\u00e4ngigkeitsb\u00e4umen.<\/li>\n        <li>Bereinigung von Build-Caches.<\/li>\n        <li>Rotation von Anmeldeinformationen.<\/li>\n        <li>Erzwingung sauberer Neuinstallationen von Abh\u00e4ngigkeiten.<\/li>\n        <li>Neuerstellung und erneute Bereitstellung von Anwendungen.<\/li>\n        <li>Kommunikation mit Kunden.<a href=\"#ref12\"><sup>12<\/sup><\/a><\/li>\n    <\/ul>\n    <p>Dies stellt einen erheblichen finanziellen Aufwand in Form von verlorener Produktivit\u00e4t und Ingenieurressourcen dar, der weltweit wahrscheinlich Millionen von Dollar betr\u00e4gt und den gestohlenen Betrag bei weitem \u00fcbersteigt.<\/p>\n\n    <h3>Analyse des geringen Ertrags<\/h3>\n    <p>Mehrere Faktoren trugen zu dem geringen finanziellen Erfolg des Angreifers bei:<\/p>\n    <ul>\n        <li><strong>Schnelle Reaktion der Community:<\/strong> Der Hauptgrund f\u00fcr den geringen Ertrag war die Geschwindigkeit der Reaktion der Open-Source-Community. Die b\u00f6sartigen Pakete wurden innerhalb eines Zeitfensters von zwei bis drei Stunden identifiziert und entfernt, was die Zeit, in der die Malware heruntergeladen und bereitgestellt werden konnte, stark einschr\u00e4nkte.<a href=\"#ref1\"><sup>1<\/sup><\/a><\/li>\n        <li><strong>Implementierungsfehler:<\/strong> Die Malware enthielt Fehler. Insbesondere pr\u00fcfte sie nicht, ob die <code>fetch<\/code>-API definiert war, bevor sie versuchte, sich einzuhaken. In Nicht-Browser-Umgebungen wie CI\/CD-Runnern f\u00fchrte dies dazu, dass Builds mit Fehlern abst\u00fcrzten. Dies fungierte als unbeabsichtigtes, aber hochwirksames Fr\u00fchwarnsystem, das Entwickler auf ein Problem aufmerksam machte.<a href=\"#ref9\"><sup>9<\/sup><\/a><\/li>\n        <li><strong>M\u00f6gliche Absicht des Angreifers:<\/strong> Dies f\u00fchrt zu mehreren Hypothesen \u00fcber das wahre Motiv des Angreifers:\n            <ul>\n                <li><strong>Ein gescheiterter Raub\u00fcberfall:<\/strong> Der Angreifer war ehrgeizig, wurde aber durch seine eigenen Programmierfehler und die schnelle Reaktion der Community vereitelt.<\/li>\n                <li><strong>Ein Proof-of-Concept oder Feldtest:<\/strong> Der Angriff war eine Live-\u00dcbung, um die Wirksamkeit der Phishing-Kampagne und der Malware-Nutzlast zu testen, mit der Absicht, die Werkzeuge f\u00fcr einen zuk\u00fcnftigen, heimlicheren Angriff zu verfeinern.<\/li>\n                <li><strong>St\u00f6rung als Ziel:<\/strong> Das Hauptziel k\u00f6nnte darin bestanden haben, Chaos zu verursachen, das Vertrauen in das Open-Source-\u00d6kosystem zu untergraben und die Reaktionszeit des \u201eImmunsystems\u201c der Branche zu messen.<\/li>\n            <\/ul>\n        <\/li>\n    <\/ul>\n\n    <h2>Threat Intelligence und handlungsrelevante Indicators of Compromise (IOCs)<\/h2>\n    <p>Dieser Abschnitt konsolidiert alle bekannten technischen Indikatoren, die mit der Angriffskampagne in Verbindung stehen. Diese Informationen sind f\u00fcr Threat Hunting, Incident Response und die zuk\u00fcnftige Erkennung von entscheidender Bedeutung. Sicherheitsanalysten k\u00f6nnen diese IOCs direkt in ihre Sicherheitsinformations- und Ereignismanagement-Systeme (SIEM), Firewalls und Endpunkterkennungsl\u00f6sungen integrieren, um automatisierte Warnungen f\u00fcr vergangene oder zuk\u00fcnftige Aktivit\u00e4ten im Zusammenhang mit dieser Kampagne zu erstellen.<\/p>\n\n    <h3>Konsolidierte Indicators of Compromise (IOCs)<\/h3>\n    <p>Die folgende Tabelle dient als zentrale Informationsquelle f\u00fcr Sicherheitsteams und erleichtert die forensische Analyse, indem sie die notwendigen Artefakte zur Durchsuchung von Protokollen, Codebasen und Netzwerkverkehr bereitstellt.<\/p>\n    <table>\n        <thead>\n            <tr>\n                <th>IOC-Typ<\/th>\n                <th>Wert<\/th>\n                <th>Beschreibung\/Kontext<\/th>\n                <th>Quelle(n)<\/th>\n            <\/tr>\n        <\/thead>\n        <tbody>\n            <tr><td>Phishing-Domain<\/td><td><code>npmjs[.]help<\/code><\/td><td>Domain, die zur Haltung der Credential-Harvesting-Seite verwendet wurde.<\/td><td><a href=\"#ref5\">5<\/a><\/td><\/tr>\n            <tr><td>Phishing-IP<\/td><td><code>185.7.81.108<\/code><\/td><td>IP-Adresse, auf die die Phishing-Domain aufgel\u00f6st wurde.<\/td><td><a href=\"#ref3\">3<\/a><\/td><\/tr>\n            <tr><td>Credential Exfiltration<\/td><td><code>websocket-api2.publicvm[.]com<\/code><\/td><td>WebSocket-Endpunkt zur Exfiltration der erfassten Anmeldedaten.<\/td><td><a href=\"#ref3\">3<\/a><\/td><\/tr>\n            <tr><td>CDN-Buckets<\/td><td><code>static-mw-host.b-cdn[.]net<\/code>, <code>img-data-backup.b-cdn[.]net<\/code><\/td><td>Vom Angreifer kontrollierte CDN-Buckets zur Bereitstellung von Inhalten der Phishing-Seite.<\/td><td><a href=\"#ref10\">10<\/a><\/td><\/tr>\n            <tr><td>Angreifer-Wallet (ETH)<\/td><td><code>0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976<\/code><\/td><td>Prim\u00e4re Ethereum-Adresse, die f\u00fcr die Umleitung von approve, transfer usw. verwendet wurde.<\/td><td><a href=\"#ref2\">2<\/a><\/td><\/tr>\n            <tr><td>Angreifer-Wallet (SOL)<\/td><td><code>19111111111111111111111111111111<\/code><\/td><td>Platzhalter-\/Wegwerfadresse f\u00fcr Solana, die Transaktionen effektiv unterbrach.<\/td><td><a href=\"#ref10\">10<\/a><\/td><\/tr>\n            <tr><td>Code-Artefakte<\/td><td><code>_0x112fa8<\/code>, <code>checkethereumw<\/code>, <code>runmask<\/code>, <code>stealthProxyControl<\/code><\/td><td>Eindeutige Funktions-\/Variablennamen in der verschleierten\/entschleierten Nutzlast.<\/td><td><a href=\"#ref3\">3<\/a><\/td><\/tr>\n            <tr><td>Funktionsselektoren<\/td><td><code>0x095ea7b3<\/code>, <code>0xd505accf<\/code>, <code>0xa9059cbb<\/code>, <code>0x23b872dd<\/code><\/td><td>Von der Malware anvisierte Ethereum-Funktionsselektoren.<\/td><td><a href=\"#ref7\">7<\/a><\/td><\/tr>\n        <\/tbody>\n    <\/table>\n\n    <h2>Strategische Gegenma\u00dfnahmen und H\u00e4rtung der Lieferkette<\/h2>\n    <p>Dieser Vorfall erfordert eine mehrschichtige Verteidigungsstrategie, die von sofortigen taktischen Abhilfema\u00dfnahmen bis hin zur langfristigen strategischen H\u00e4rtung der Softwarelieferkette reicht.<\/p>\n    \n    <h3>Sofortige Abhilfema\u00dfnahmen f\u00fcr betroffene Organisationen<\/h3>\n    <p>Organisationen, die potenziell betroffen sind, sollten unverz\u00fcglich die folgenden Schritte einleiten:<\/p>\n    <ul>\n        <li><strong>Audit und Identifizierung:<\/strong> Scannen Sie sofort alle Projekte auf die in der Tabelle aufgef\u00fchrten kompromittierten Paketversionen, indem Sie Werkzeuge wie <code>npm audit<\/code> oder andere Software Composition Analysis (SCA)-L\u00f6sungen verwenden.<a href=\"#ref12\"><sup>12<\/sup><\/a><\/li>\n        <li><strong>Eind\u00e4mmung und Beseitigung:<\/strong>\n            <ul>\n                <li>Isolieren Sie alle betroffenen Build-Server oder Entwicklermaschinen.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n                <li>L\u00f6schen Sie <code>node_modules<\/code>-Verzeichnisse und Lockfiles (<code>package-lock.json<\/code>, <code>yarn.lock<\/code>).<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n                <li>Leeren Sie alle lokalen und entfernten Caches (<code>npm cache clean --force<\/code>, CI\/CD-Caches, CDN-Caches), um eine Wiedereinf\u00fchrung des b\u00f6sartigen Codes zu verhindern.<a href=\"#ref12\"><sup>12<\/sup><\/a><\/li>\n            <\/ul>\n        <\/li>\n        <li><strong>Wiederherstellung:<\/strong>\n            <ul>\n                <li>Pinnen Sie alle Abh\u00e4ngigkeiten auf bekannte, gute Versionen, die vor dem Angriff ver\u00f6ffentlicht wurden.<a href=\"#ref19\"><sup>19<\/sup><\/a><\/li>\n                <li>F\u00fchren Sie eine saubere Installation mit <code>npm ci<\/code> durch, um sicherzustellen, dass der Build ausschlie\u00dflich auf dem gepr\u00fcften Lockfile basiert.<a href=\"#ref1\"><sup>1<\/sup><\/a><\/li>\n                <li>Erstellen und implementieren Sie alle betroffenen Anwendungen neu.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n                <li>Rotieren Sie vorsorglich alle auf den betroffenen Systemen vorhandenen Anmeldeinformationen und Geheimnisse.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n            <\/ul>\n        <\/li>\n    <\/ul>\n    \n    <h3>Proaktive Verteidigung f\u00fcr Entwickler und Unternehmen<\/h3>\n    <p>Um zuk\u00fcnftige Angriffe zu verhindern, sollten Organisationen die folgenden proaktiven Ma\u00dfnahmen ergreifen:<\/p>\n    <ul>\n        <li><strong>Abh\u00e4ngigkeitshygiene:<\/strong> Fordern Sie die Verwendung von Lockfiles und reproduzierbaren Builds (<code>npm ci<\/code>) in allen CI\/CD-Pipelines, um unerwartete Abh\u00e4ngigkeitsaktualisierungen zu verhindern.<a href=\"#ref1\"><sup>1<\/sup><\/a><\/li>\n        <li><strong>Interne Registries:<\/strong> Nutzen Sie eine vertrauensw\u00fcrdige interne oder private Paket-Registry, die als Proxy zur \u00f6ffentlichen npm-Registry fungiert. Dies erm\u00f6glicht das Scannen, \u00dcberpr\u00fcfen und Blockieren von Paketen, bevor sie in die Entwicklungsumgebung gelangen.<a href=\"#ref5\"><sup>5<\/sup><\/a><\/li>\n        <li><strong>Automatisiertes Scannen:<\/strong> Integrieren Sie robuste Abh\u00e4ngigkeitsscans (SCA) und statische Analysetools (SAST) in die CI\/CD-Pipeline, um bekannte Schwachstellen und verd\u00e4chtige Codemuster zu erkennen.<a href=\"#ref12\"><sup>12<\/sup><\/a><\/li>\n        <li><strong>Laufzeitschutz:<\/strong> Implementieren Sie eine Verhaltensanalyse zur Laufzeit und eine starke Content Security Policy (CSP), um b\u00f6sartige clientseitige Aktivit\u00e4ten wie unbefugtes API-Hooking oder Verbindungen zu verd\u00e4chtigen Domains zu erkennen und zu blockieren.<\/li>\n    <\/ul>\n    \n    <h3>St\u00e4rkung der Grundlagen: Empfehlungen f\u00fcr Maintainer und Registries<\/h3>\n    <p>Die Sicherheit des gesamten \u00d6kosystems h\u00e4ngt von den Praktiken seiner zentralen Akteure ab:<\/p>\n    <ul>\n        <li><strong>Phishing-resistente MFA durchsetzen:<\/strong> Paket-Registries wie npm sollten die Verwendung von Hardware-Sicherheitsschl\u00fcsseln (FIDO2\/WebAuthn) f\u00fcr Maintainer kritischer Pakete dringend empfehlen oder vorschreiben, da dies die wirksamste Verteidigung gegen AiTM-Phishing ist.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n        <li><strong>Ver\u00f6ffentlichungsprozess h\u00e4rten:<\/strong> Implementieren Sie strengere Kontrollen f\u00fcr den Ver\u00f6ffentlichungsprozess, z. B. die Forderung nach der Genehmigung durch mehrere Maintainer f\u00fcr neue Versionen von stark heruntergeladenen Paketen (ein \u201eMulti-Sig\u201c-Ansatz).<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n        <li><strong>Paketsignierung und Provenienz:<\/strong> F\u00f6rdern und erweitern Sie die Einf\u00fchrung von Paketsignaturen (z. B. Sigstore) und Provenienzfunktionen. Diese bieten kryptografische Garantien dar\u00fcber, wer ein Paket ver\u00f6ffentlicht hat und in welcher CI\/CD-Umgebung es erstellt wurde, was es schwieriger macht, b\u00f6sartigen Code unentdeckt einzuschleusen.<a href=\"#ref3\"><sup>3<\/sup><\/a><\/li>\n    <\/ul>\n\n    <h2>Kontextanalyse: Die sich entwickelnde Landschaft der Supply-Chain-Angriffe<\/h2>\n    <p>Dieser Angriff war keine Anomalie, sondern die Ausf\u00fchrung eines etablierten Drehbuchs, das von hochentwickelten Bedrohungsakteuren, einschlie\u00dflich Advanced Persistent Threats (APTs) wie der Lazarus-Gruppe, verwendet wird.<a href=\"#ref21\"><sup>21<\/sup><\/a> Die zentralen Taktiken, Techniken und Prozeduren (TTPs) \u2013 das Anvisieren von Maintainern popul\u00e4rer, aber unterfinanzierter Projekte mittels Social Engineering, um einen massiven Vertriebskanal zu gewinnen \u2013 sind ein wiederkehrendes Thema in der Sicherheit von Lieferketten.<\/p>\n    \n    <h3>Vergleich mit anderen npm-Angriffen<\/h3>\n    <ul>\n        <li><strong>event-stream (2018):<\/strong> Ein \u00e4hnlicher Angriff, bei dem ein Maintainer die Kontrolle an einen b\u00f6sartigen Akteur \u00fcbergab, der dann eine Krypto-Stealing-Nutzlast einschleuste. Der chalk\/debug-Angriff unterscheidet sich durch den Einsatz von aktivem Phishing anstelle von Social Engineering, um \u00fcber einen l\u00e4ngeren Zeitraum Vertrauen aufzubauen.<\/li>\n        <li><strong>ua-parser-js (2021):<\/strong> Eine weitere Konto\u00fcbernahme, die zur Bereitstellung eines Credential-Stealers und Krypto-Miners f\u00fchrte. Die chalk\/debug-Malware ist aufgrund ihres clientseitigen Fokus und fortschrittlicher T\u00e4uschungstechniken wie dem Levenshtein-Distanz-Algorithmus ausgefeilter.<\/li>\n        <li><strong>Typosquatting\/Dependency Confusion:<\/strong> Dieser Angriffsvektor unterscheidet sich von Kampagnen, die darauf abzielen, Entwickler zur Installation von Paketen mit \u00e4hnlichen Namen zu verleiten (z. B. die Verwechslung von colorama und colorizr).<a href=\"#ref18\"><sup>18<\/sup><\/a> Hier wurde das Vertrauen in den <em>legitimen<\/em> Paketnamen als Waffe eingesetzt.<\/li>\n    <\/ul>\n\n    <h3>Aufkommende Trends<\/h3>\n    <p>Die Analyse dieses Vorfalls offenbart mehrere wichtige Trends in der Bedrohungslandschaft:<\/p>\n    <ul>\n        <li><strong>Verlagerung zu clientseitigen Nutzlasten:<\/strong> Es gibt einen wachsenden Trend zu Malware, die f\u00fcr die Ausf\u00fchrung im Browser des Endbenutzers konzipiert ist. Dies umgeht traditionelle serverseitige Abwehrma\u00dfnahmen und verlagert das Risiko auf die Kunden.<\/li>\n        <li><strong>Zunehmende Raffinesse des Social Engineering:<\/strong> Phishing-Kampagnen werden personalisierter, technisch fortschrittlicher (AiTM) und potenziell KI-gest\u00fctzt, was ihre Erkennung erschwert.<a href=\"#ref13\"><sup>13<\/sup><\/a><\/li>\n        <li><strong>Der Maintainer als Hauptziel:<\/strong> Bedrohungsakteure haben erkannt, dass die Kompromittierung eines einzigen, vertrauensw\u00fcrdigen Maintainers eines grundlegenden Open-Source-Projekts einen unvergleichlichen Return on Investment f\u00fcr die Malware-Verbreitung bietet. Dies macht diese Personen zu hochwertigen Zielen und unterstreicht die systemische Fragilit\u00e4t eines \u00d6kosystems, das auf den Sicherheitspraktiken einzelner Freiwilliger beruht.<a href=\"#ref4\"><sup>4<\/sup><\/a> Der Vorfall ist eine deutliche Mahnung, dass die Sicherheit der Softwarelieferkette eine kollektive Verantwortung ist, die robuste technische Kontrollen, eine erh\u00f6hte Wachsamkeit der Maintainer und eine grundlegende Neubewertung des Vertrauensmodells erfordert, das der Open-Source-Entwicklung zugrunde liegt.<\/li>\n    <\/ul>\n\n    <h2>Referenzen<\/h2>\n    <ol>\n        <li id=\"ref1\">Security Alert | chalk, debug and color on npm compromised in new &#8230;, Zugriff am September 11, 2025, <a href=\"https:\/\/semgrep.dev\/blog\/2025\/chalk-debug-and-color-on-npm-compromised-in-new-supply-chain-attack\/\" target=\"_blank\">https:\/\/semgrep.dev\/blog\/2025\/chalk-debug-and-color-on-npm-compromised-in-new-supply-chain-attack\/<\/a><\/li>\n        <li id=\"ref2\">Open Source Community Thwarts Massive npm Supply Chain Attack &#8211; Infosecurity Magazine, Zugriff am September 11, 2025, <a href=\"https:\/\/www.infosecurity-magazine.com\/news\/npm-supply-chain-attack-averted\/\" target=\"_blank\">https:\/\/www.infosecurity-magazine.com\/news\/npm-supply-chain-attack-averted\/<\/a><\/li>\n        <li id=\"ref3\">Browser-Based Crypto-Stealer in NPM Supply Chain Attack &#8230; &#8211; SISA, Zugriff am September 11, 2025, <a href=\"https:\/\/www.sisainfosec.com\/blogs\/browser-based-crypto-stealer-in-npm-supply-chain-attack-advisory-by-sisa-sappers\/\" target=\"_blank\">https:\/\/www.sisainfosec.com\/blogs\/browser-based-crypto-stealer-in-npm-supply-chain-attack-advisory-by-sisa-sappers\/<\/a><\/li>\n        <li id=\"ref4\">Largest NPM Supply Chain Attack : Billions of Downloads, Zugriff am September 11, 2025, <a href=\"https:\/\/underdefense.com\/blog\/npm-supply-chain-attack\/\" target=\"_blank\">https:\/\/underdefense.com\/blog\/npm-supply-chain-attack\/<\/a><\/li>\n        <li id=\"ref5\">Hackers Compromise 18 NPM Packages in Supply Chain Attack, Zugriff am September 11, 2025, <a href=\"https:\/\/www.bankinfosecurity.com\/hackers-compromise-18-npm-packages-in-supply-chain-attack-a-29396\" target=\"_blank\">https:\/\/www.bankinfosecurity.com\/hackers-compromise-18-npm-packages-in-supply-chain-attack-a-29396<\/a><\/li>\n        <li id=\"ref6\">Widespread npm Supply Chain Attack: Breaking Down Impact &#8230; &#8211; Wiz, Zugriff am September 11, 2025, <a href=\"https:\/\/www.wiz.io\/blog\/widespread-npm-supply-chain-attack-breaking-down-impact-scope-across-debug-chalk\" target=\"_blank\">https:\/\/www.wiz.io\/blog\/widespread-npm-supply-chain-attack-breaking-down-impact-scope-across-debug-chalk<\/a><\/li>\n        <li id=\"ref7\">NPM Supply Chain Attack Hits Popular Packages with Crypto Drainer &#8211; Mend.io, Zugriff am September 11, 2025, <a href=\"https:\/\/www.mend.io\/blog\/npm-supply-chain-attack-infiltrates-popular-packages\/\" target=\"_blank\">https:\/\/www.mend.io\/blog\/npm-supply-chain-attack-infiltrates-popular-packages\/<\/a><\/li>\n        <li id=\"ref8\">Critical npm Supply Chain Attack &#8211; eSentire, Zugriff am September 11, 2025, <a href=\"https:\/\/www.esentire.com\/security-advisories\/critical-npm-supply-chain-attack\" target=\"_blank\">https:\/\/www.esentire.com\/security-advisories\/critical-npm-supply-chain-attack<\/a><\/li>\n        <li id=\"ref9\">NPM supply chain attack on crypto contained with &#8218;almost no victims,&#8216; Ledger CTO says, Zugriff am September 11, 2025, <a href=\"https:\/\/www.theblock.co\/post\/369984\/npm-supply-chain-attack-on-crypto-contained-with-almost-no-victims-ledger-cto-says\" target=\"_blank\">https:\/\/www.theblock.co\/post\/369984\/npm-supply-chain-attack-on-crypto-contained-with-almost-no-victims-ledger-cto-says<\/a><\/li>\n        <li id=\"ref10\">Oops, No Victims: The Largest Supply Chain Attack Stole 5 Cents &#8211; Security Alliance, Zugriff am September 11, 2025, <a href=\"https:\/\/www.securityalliance.org\/news\/2025-09-npm-supply-chain\" target=\"_blank\">https:\/\/www.securityalliance.org\/news\/2025-09-npm-supply-chain<\/a><\/li>\n        <li id=\"ref11\">18 Popular Code Packages Hacked, Rigged to Steal Crypto &#8211; Krebs on Security, Zugriff am September 11, 2025, <a href=\"https:\/\/krebsonsecurity.com\/2025\/09\/18-popular-code-packages-hacked-rigged-to-steal-crypto\/\" target=\"_blank\">https:\/\/krebsonsecurity.com\/2025\/09\/18-popular-code-packages-hacked-rigged-to-steal-crypto\/<\/a><\/li>\n        <li id=\"ref12\">Critical npm supply chain attack response &#8211; September 8, 2025 &#8211; Vercel, Zugriff am September 11, 2025, <a href=\"https:\/\/vercel.com\/blog\/critical-npm-supply-chain-attack-response-september-8-2025\" target=\"_blank\">https:\/\/vercel.com\/blog\/critical-npm-supply-chain-attack-response-september-8-2025<\/a><\/li>\n        <li id=\"ref13\">AI-Generated Phishing: How One Email Triggered a Global NPM Supply Chain Crisis, Zugriff am September 11, 2025, <a href=\"https:\/\/www.varonis.com\/blog\/npm-hijacking\" target=\"_blank\">https:\/\/www.varonis.com\/blog\/npm-hijacking<\/a><\/li>\n        <li id=\"ref14\">npm debug and chalk packages compromised &#8211; Aikido, Zugriff am September 11, 2025, <a href=\"https:\/\/www.aikido.dev\/blog\/npm-debug-and-chalk-packages-compromised\" target=\"_blank\">https:\/\/www.aikido.dev\/blog\/npm-debug-and-chalk-packages-compromised<\/a><\/li>\n        <li id=\"ref15\">npm Supply Chain Attack: Massive Compromise of debug, chalk, and 16 Other Packages, Zugriff am September 11, 2025, <a href=\"https:\/\/www.upwind.io\/feed\/npm-supply-chain-attack-massive-compromise-of-debug-chalk-and-16-other-packages\" target=\"_blank\">https:\/\/www.upwind.io\/feed\/npm-supply-chain-attack-massive-compromise-of-debug-chalk-and-16-other-packages<\/a><\/li>\n        <li id=\"ref16\">Malicious npm Code Reached 10% of Cloud Environments &#8211; Infosecurity Magazine, Zugriff am September 11, 2025, <a href=\"https:\/\/www.infosecurity-magazine.com\/news\/malicious-npm-code-10-cloud\/\" target=\"_blank\">https:\/\/www.infosecurity-magazine.com\/news\/malicious-npm-code-10-cloud\/<\/a><\/li>\n        <li id=\"ref17\">New compromised packages in largest npm attack in history &#8211; JFrog, Zugriff am September 11, 2025, <a href=\"https:\/\/jfrog.com\/blog\/new-compromised-packages-in-largest-npm-attack-in-history\/\" target=\"_blank\">https:\/\/jfrog.com\/blog\/new-compromised-packages-in-largest-npm-attack-in-history\/<\/a><\/li>\n        <li id=\"ref18\">Chalk And 17 Other NPM Packages Compromised In Supply-Chain &#8230;, Zugriff am September 11, 2025, <a href=\"https:\/\/checkmarx.com\/zero-post\/chalk-and-17-other-npm-packages-compromised-in-supply-chain-attack\/\" target=\"_blank\">https:\/\/checkmarx.com\/zero-post\/chalk-and-17-other-npm-packages-compromised-in-supply-chain-attack\/<\/a><\/li>\n        <li id=\"ref19\">Major Supply Chain Attack Compromises Popular npm Packages Including chalk and debug, Zugriff am September 11, 2025, <a href=\"https:\/\/www.endorlabs.com\/learn\/major-supply-chain-attack-compromises-popular-npm-packages-including-chalk-and-debug\" target=\"_blank\">https:\/\/www.endorlabs.com\/learn\/major-supply-chain-attack-compromises-popular-npm-packages-including-chalk-and-debug<\/a><\/li>\n        <li id=\"ref20\">Major NPM Supply-Chain Attack: Potential Impact on Mobile &#8230;, Zugriff am September 11, 2025, <a href=\"https:\/\/www.nowsecure.com\/blog\/2025\/09\/08\/major-npm-supply-chain-attack-potential-impact-on-mobile-applications\/\" target=\"_blank\">https:\/\/www.nowsecure.com\/blog\/2025\/09\/08\/major-npm-supply-chain-attack-potential-impact-on-mobile-applications\/<\/a><\/li>\n        <li id=\"ref21\">npm Chalk and Debug Packages Hit in Software Supply Chain Attack, Zugriff am September 11, 2025, <a href=\"https:\/\/www.sonatype.com\/blog\/npm-chalk-and-debug-packages-hit-in-software-supply-chain-attack\" target=\"_blank\">https:\/\/www.sonatype.com\/blog\/npm-chalk-and-debug-packages-hit-in-software-supply-chain-attack<\/a><\/li>\n    <\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Die Kompromittierung der npm-Lieferkette im September 2025 Im September 2025 wurde das npm-\u00d6kosystem Zeuge eines der potenziell weitreichendsten Supply-Chain-Angriffe seiner Geschichte. Dutzende grundlegender JavaScript-Pakete, darunter allgegenw\u00e4rtige Tools wie chalk und debug, wurden kompromittiert.1 Diese Pakete verzeichnen zusammen \u00fcber 2,6 Milliarden w\u00f6chentliche Downloads, was eine immense potenzielle Angriffsfl\u00e4che schuf.3 Der Vorfall unterstreicht die systemische Fragilit\u00e4t der [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":566,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[481,484,141,190,478,477,483,479,482,480],"class_list":["post-556","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheit-support","tag-cybersicherheit-fuer-kmu","tag-indicators-of-compromise","tag-it-sicherheit-freiburg","tag-it-support-endingen","tag-npm-hack-analyse","tag-phishing-resistente-mfa","tag-software-composition-analysis","tag-supply-chain-angriff","tag-technische-it-sicherheit","tag-webentwicklung-sicherheit-suedbaden"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand<\/title>\n<meta name=\"description\" content=\"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand\" \/>\n<meta property=\"og:description\" content=\"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\" \/>\n<meta property=\"og:site_name\" content=\"Digitalisierung &amp; IT f\u00fcr den Mittelstand\" \/>\n<meta property=\"article:published_time\" content=\"2025-09-11T10:28:39+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-09-12T06:15:11+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1024\" \/>\n\t<meta property=\"og:image:height\" content=\"1024\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"author\" content=\"Thorben Auer\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Thorben Auer\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"21\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\"},\"author\":{\"name\":\"Thorben Auer\",\"@id\":\"https:\/\/softwelop.com\/blog\/#\/schema\/person\/4bb2f559acc932704b607dfe61704b60\"},\"headline\":\"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl\",\"datePublished\":\"2025-09-11T10:28:39+00:00\",\"dateModified\":\"2025-09-12T06:15:11+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\"},\"wordCount\":3907,\"publisher\":{\"@id\":\"https:\/\/softwelop.com\/blog\/#organization\"},\"image\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1\",\"keywords\":[\"Cybersicherheit f\u00fcr KMU\",\"Indicators of Compromise\",\"IT-Sicherheit Freiburg\",\"IT-Support Endingen\",\"NPM-Hack Analyse\",\"Phishing-resistente MFA\",\"Software Composition Analysis\",\"Supply-Chain-Angriff\",\"technische IT-Sicherheit\",\"Webentwicklung Sicherheit S\u00fcdbaden\"],\"articleSection\":[\"IT-Sicherheit &amp; Support\"],\"inLanguage\":\"de\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\",\"url\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\",\"name\":\"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand\",\"isPartOf\":{\"@id\":\"https:\/\/softwelop.com\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1\",\"datePublished\":\"2025-09-11T10:28:39+00:00\",\"dateModified\":\"2025-09-12T06:15:11+00:00\",\"description\":\"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.\",\"breadcrumb\":{\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage\",\"url\":\"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1\",\"contentUrl\":\"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1\",\"width\":1024,\"height\":1024,\"caption\":\"Analyse des NPM Supply-Chain-Angriffs f\u00fcr die IT-Sicherheit von KMU in S\u00fcdbaden\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/softwelop.com\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/softwelop.com\/blog\/#website\",\"url\":\"https:\/\/softwelop.com\/blog\/\",\"name\":\"Digitalisierung & IT f\u00fcr den Mittelstand\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\/\/softwelop.com\/blog\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/softwelop.com\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"de\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/softwelop.com\/blog\/#organization\",\"name\":\"softwelop\",\"url\":\"https:\/\/softwelop.com\/blog\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/softwelop.com\/blog\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/07\/cropped-webclip.png\",\"contentUrl\":\"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/07\/cropped-webclip.png\",\"width\":512,\"height\":512,\"caption\":\"softwelop\"},\"image\":{\"@id\":\"https:\/\/softwelop.com\/blog\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/softwelop.com\/blog\/#\/schema\/person\/4bb2f559acc932704b607dfe61704b60\",\"name\":\"Thorben Auer\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/softwelop.com\/blog\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/1a862dffc6486de553779088a3a254931fd2297fd13325a9452cb666aea16333?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/1a862dffc6486de553779088a3a254931fd2297fd13325a9452cb666aea16333?s=96&d=mm&r=g\",\"caption\":\"Thorben Auer\"},\"sameAs\":[\"https:\/\/softwelop.com\/blog\"]}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand","description":"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/","og_locale":"de_DE","og_type":"article","og_title":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand","og_description":"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.","og_url":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/","og_site_name":"Digitalisierung &amp; IT f\u00fcr den Mittelstand","article_published_time":"2025-09-11T10:28:39+00:00","article_modified_time":"2025-09-12T06:15:11+00:00","og_image":[{"width":1024,"height":1024,"url":"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png","type":"image\/png"}],"author":"Thorben Auer","twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Thorben Auer","Gesch\u00e4tzte Lesezeit":"21\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#article","isPartOf":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/"},"author":{"name":"Thorben Auer","@id":"https:\/\/softwelop.com\/blog\/#\/schema\/person\/4bb2f559acc932704b607dfe61704b60"},"headline":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl","datePublished":"2025-09-11T10:28:39+00:00","dateModified":"2025-09-12T06:15:11+00:00","mainEntityOfPage":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/"},"wordCount":3907,"publisher":{"@id":"https:\/\/softwelop.com\/blog\/#organization"},"image":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1","keywords":["Cybersicherheit f\u00fcr KMU","Indicators of Compromise","IT-Sicherheit Freiburg","IT-Support Endingen","NPM-Hack Analyse","Phishing-resistente MFA","Software Composition Analysis","Supply-Chain-Angriff","technische IT-Sicherheit","Webentwicklung Sicherheit S\u00fcdbaden"],"articleSection":["IT-Sicherheit &amp; Support"],"inLanguage":"de"},{"@type":"WebPage","@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/","url":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/","name":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl - Digitalisierung &amp; IT f\u00fcr den Mittelstand","isPartOf":{"@id":"https:\/\/softwelop.com\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage"},"image":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage"},"thumbnailUrl":"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1","datePublished":"2025-09-11T10:28:39+00:00","dateModified":"2025-09-12T06:15:11+00:00","description":"Tiefgehende Analyse des NPM-Hacks: Erfahren Sie die technischen Details des Angriffs, die Funktionsweise der Malware und welche konkreten Schutzma\u00dfnahmen KMU in S\u00fcdbaden jetzt ergreifen m\u00fcssen.","breadcrumb":{"@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#primaryimage","url":"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1","contentUrl":"https:\/\/i0.wp.com\/softwelop.com\/blog\/wp-content\/uploads\/2025\/09\/1757586486-68c2a43661db9.png?fit=1024%2C1024&ssl=1","width":1024,"height":1024,"caption":"Analyse des NPM Supply-Chain-Angriffs f\u00fcr die IT-Sicherheit von KMU in S\u00fcdbaden"},{"@type":"BreadcrumbList","@id":"https:\/\/softwelop.com\/blog\/npm-supply-chain-angriffs-vom-september-2025-ein-technischer-deep-dive-in-den-krypto-diebstahl\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/softwelop.com\/blog\/"},{"@type":"ListItem","position":2,"name":"npm-Supply-Chain-Angriffs vom September 2025: Ein technischer Deep Dive in den Krypto-Diebstahl"}]},{"@type":"WebSite","@id":"https:\/\/softwelop.com\/blog\/#website","url":"https:\/\/softwelop.com\/blog\/","name":"Digitalisierung & IT f\u00fcr den Mittelstand","description":"","publisher":{"@id":"https:\/\/softwelop.com\/blog\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/softwelop.com\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"de"},{"@type":"Organization","@id":"https:\/\/softwelop.com\/blog\/#organization","name":"softwelop","url":"https:\/\/softwelop.com\/blog\/","logo":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/softwelop.com\/blog\/#\/schema\/logo\/image\/","url":"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/07\/cropped-webclip.png","contentUrl":"https:\/\/softwelop.com\/blog\/wp-content\/uploads\/2025\/07\/cropped-webclip.png","width":512,"height":512,"caption":"softwelop"},"image":{"@id":"https:\/\/softwelop.com\/blog\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/softwelop.com\/blog\/#\/schema\/person\/4bb2f559acc932704b607dfe61704b60","name":"Thorben Auer","image":{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/softwelop.com\/blog\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/1a862dffc6486de553779088a3a254931fd2297fd13325a9452cb666aea16333?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/1a862dffc6486de553779088a3a254931fd2297fd13325a9452cb666aea16333?s=96&d=mm&r=g","caption":"Thorben Auer"},"sameAs":["https:\/\/softwelop.com\/blog"]}]}},"_links":{"self":[{"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/posts\/556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/comments?post=556"}],"version-history":[{"count":11,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/posts\/556\/revisions"}],"predecessor-version":[{"id":568,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/posts\/556\/revisions\/568"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/media\/566"}],"wp:attachment":[{"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/media?parent=556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/categories?post=556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/softwelop.com\/blog\/wp-json\/wp\/v2\/tags?post=556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}